在6.8中,甚至设置默认的桌面背景需要root密码,然后在我公司500台笔记本电脑上使用sudofunction。
james01 ALL=(ALL) NOPASSWD: sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool,/bin/rpm, /usr/bin/up2date, /usr/bin/yum 1.如何避免用户编辑/ sbin / iptables? sudoers没有语法!/sbin/iptables
2.如何设置不同用户名的500台笔记本电脑,如robin01,marry01?
3.是否有一个sudoers文件作为经典的例子来控制用户权限?
您可以使用 '!' 否定命令,用户等。但是,你必须小心。 sudoers的手册页带有这个警告。
“!”的局限性 运算符通常使用“!”从“ALL”中减去命令是无效的 运营商。 用户可以通过将所需的命令复制到一个不同的名称,然后执行该命令,轻易地绕过这一点。 例如:bill ALL = ALL,!SU,!SHELLS不能真正阻止bill运行SU或SHELLS中列出的命令,因为他可以简单地将这些命令复制到不同的名称,或者使用编辑器或其他程序。 因此,这种限制最多应该被视为咨询(并且通过政策来加强)。 一般来说,如果一个用户拥有sudo ALL,那么无论如何,都不能阻止他们创build自己的程序,而不pipe他们使用什么“!”来为他们提供一个根shell(或者自己创build一个shell的副本)。 用户规范中的元素。
你的iptables的例子说明了这一点。 如果您不授予ALL ,那么您将不得不明确授予对允许他们编辑iptables的一个命令或一组命令的权限。 除非使用ALL,否则不必取消任何命令。 否则,防止它将是非常具有挑战性的。
而不是每500个用户设置一个策略,为什么不把它应用到组? 如果每个人都在一个共同的小组,你可以使用'%'来表示小组。 看一下轮组在/ etc / sudoers中的例子。
## Allows people in group wheel to run all commands %wheel ALL=(ALL) ALL
如果你必须在500台不同的笔记本电脑上设置。 你可以使用一些自动化工具。 我build议你“Ansible”..这是一个无客户端的工具,你只需要ssh证书。 试试吧,它会真正的理清你的工作。
如果你想我可以为你做脚本。 如果感兴趣,请ping。 很高兴帮助你。